Aktuelles, Branche - geschrieben von dp am Donnerstag, Oktober 24, 2024 19:11 - noch keine Kommentare
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management
Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene
[datensicherheit.de, 24.10.2024] „Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 ist der ,Chief Information Security Officer’ die gefragteste Person auf der obersten Führungsebene“, so Dr. Harald Schönfeld, Geschäftsführer der butterflymanager GmbH, in seiner aktuellen Stellungnahme. Er erläutert: „Cyber-Resilienz ist derzeit eines der Hauptthemen im Top-Management“ – er könne dies an einer „stark steigenden Nachfrage nach ,Chief Information Security Officers’ auf Zeit“ am Personalmarkt festmachen. Er berichtet: „Wir hatten noch nie so eine hohe Nachfrage nach Managern, die sich in Projekten auf Vorstands- oder Geschäftsleitungsebene um die Cyber-Rresilienz von Unternehmen kümmern sollen.“
Dr. Harald Schönfeld: Vielen Führungskräften im Mittelstand ist offenbar erst spät klargeworden, dass NIS-2 nicht nur für KRITIS-Betreiber gilt, sondern für die gesamte -Wertschöpfungskette…
NIS-2 birgt Haftung auf Vorstands-, Geschäftsleitungs- und Aufsichtsratsebene
Das Gros der Nachfrage komme von mittelständischen Firmen, welche nicht selbst eine sogenannte Kritische Infrastruktur (KRITIS) betrieben, aber KRITIS-Unternehmen im Kundenstamm hätten. Der Hintergrund sei offensichtlich: Nach Umsetzung der EU-Cyber-Sicherheitsrichtlinie NIS-2 (Network & Information Security) in deutsches Recht hafteten die Firmen bei Hacker-Angriffen.
„Diese Haftung greift nach oben durch bis auf Vorstands- und Geschäftsleitungsebene“, warnt Dr. Schönfeld und erklärt, warum Cyber-Resilienz demnach plötzlich zum Top-Thema auf der obersten Führungsebene aufgestiegen ist. Er führt aus: „Verletzt das Top-Management seine Pflicht oder unterlässt die Einführung von Maßnahmen zur Minimierung von Cyber-Risiken, drohen hohe Bußgelder sowie rechtliche Konsequenzen für die Führungskräfte. Auch die Mitglieder der Überwachungs- und Kontrollorgane des Unternehmens stehen persönlich in der Haftung, insbesondere der Aufsichtsrat.“
NIS-2-Richtlinie setzt erhöhte Cyber-Sicherheitsstandards für Unternehmen ab 50 Mitarbeitern und zehn Millionen Euro Umsatz in 18 festgelegten Sektoren…
Die Anpassung an die neuen rechtlichen Vorgaben erfordere nicht nur technologische Investitionen, sondern ebenso sehr eine Stärkung der „Governance“-Strukturen: „,Governance’ ist im Grunde immer ein Thema für die oberste Führungsebene und den Aufsichtsrat. Deshalb suchen die Unternehmen einen ,Chief Information Security Officer’ und keinen bloßen Cyber-Sicherheitsexperten“, weiß Dr. Schönfeld aus Gesprächen mit Vorständen, Geschäftsführern und Aufsichtsräten.
Die NIS-2-Richtlinie setze erhöhte Cyber-Sicherheitsstandards für Unternehmen ab 50 Mitarbeitern und zehn Millionen Euro Umsatz in 18 festgelegten Sektoren, „die als ,kritisch’ für die Aufrechterhaltung wichtiger Infrastrukturen eingestuft werden“. Dazu gehörten die Branchen Energie, Transport, Bankwesen, Finanzmarkt-Infrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Herstellung sowie Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion sowie -verarbeitung und -vertrieb, Produktion und Herstellung von Medizinprodukten wie auch Maschinen und Fahrzeugen sowie elektrischen/elektronischen Geräten, ferner digitale Anbieter und Forschung.
Haftung infolge NIS-2 umfasst gesamte KRITIS-Wertschöpfungskette
„Vielen Führungskräften im Mittelstand ist offenbar erst spät klargeworden, dass NIS-2 nicht nur für die Betreiber Kritischer Infrastrukturen gilt, sondern für die gesamte KRITIS-Wertschöpfungskette, also auch alle Zulieferer“, so Dr. Schönfeld.
Deshalb sei Cyber-Resilienz in vielen Firmen beinahe über Nacht von der IT-Abteilung auf die Agenda der obersten Führungsebene und auch des Aufsichtsrates als Überwachungs- und Kontrollgremium gesetzt worden. Daher suche man nun auf Top-Ebene einen schnell verfügbaren Interim-Manager, welcher das Unternehmen in der Rolle des „Chief Information Security Officer“ auf die neuen NIS-2-Anforderungen einstellen könne.
BSI rechnet mit knapp 30.000 von NIS-2 betroffenen Firmen in Deutschland
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rechne mit knapp 30.000 von NIS-2 betroffenen Firmen in Deutschland, andere Zählungen kämen auf rund 40.000 Unternehmen über die gesamte Wertschöpfungskette hinweg. „Die hohe Nachfrage nach Interim-Managern zur Stärkung der Cyber-Resilienz auf Top-Ebene ist auch die Folge eines leergefegten Personalmarktes mit entsprechend qualifizierten Personen“, führt Dr. Schönfeld aus.
Er berichtet aus eigener Erfahrung als „Personaler“: „Immer häufiger erhalten wir einen Doppelauftrag: Einen Interim-Manager zu finden, der praktisch sofort als ,Chief Information Security Officer’ einspringt, und parallel dazu einen Manager zu suchen, der diese Funktion in dauerhafter Festanstellung antreten will.“ Der Erste gelinge ihnen immer kurzfristig, aber für die zweite Aufgabe gingen unter Umständen Monate dahin, um eine geeignete Führungskraft zu finden.
Weitere Informationen zum Thema:
datensicherheit.de, 16.10.2024
NIS-2 Richtlinie: Unternehmen müssen von der Reaktion zur Aktion gelangen / Technische Anforderungen der NIS-2-Richtlinie alles Andere als eine leichte Übung zum Abhaken
datensicherheit.de, 30.09.2024
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur / Anstatt zu der von NIS angestrebten Vereinheitlichung kam es in der Praxis zur Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes
datensicherheit.de, 26.09.2024
NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko / Lückenlose, aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien – von NIS-2 bis CRA
Aktuelles, Experten, Veranstaltungen - Okt 14, 2024 20:41 - noch keine Kommentare
Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
weitere Beiträge in Experten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
Aktuelles, Branche - Okt 24, 2024 19:11 - noch keine Kommentare
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management
weitere Beiträge in Branche
- CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit
- Lazarus stahl Krypto-Währungen mittels Spyware: Kaspersky warnte Google vor Zero-Day-Exploit in Chrome
- Rückblicke und Ausblicke zur it-sa: Viel erreicht – und noch viel vor
- Konzeption einer Cyber-Sicherheitsstrategie – Dr. Martin Krämer zieht Lehren aus Bletchley Park
- it-sa Expo&Congress 2024 in Nürnberg mit reger Nachfrage gestartet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren